send to repeater 手动提交,注入。 将post请求改成get请求 直接就可以看到页面 生成csrf POC代码 点击在浏览器中测试,copy 拿到浏览器里访问 或者拷贝出来 保存到文本中 双击,就能重定向到目标的网页了。 sequencer 分析程序中可预测的数据 session c ...
分类:
其他好文 时间:
2017-04-14 12:45:08
阅读次数:
157
1.如果还不知道如何配置代理地址,可以看同一个分类中的另一篇随笔。这里不再详细介绍。 2.导入证书打开端口,配置好浏览器代理(以firefox为例) 3.在地址栏输入http://burp,回车下载证书 4.注意这里的证书不能是零字节,不然去找破解版(因为这个原因,浪费了我一天的时间,才找到原因) ...
分类:
Web程序 时间:
2017-04-13 21:13:21
阅读次数:
273
安装证书: 打开burpsuite,设置好代理。端口8080,但是打开https的网站却因为证书问题无法访问。 这需要我们为浏览器手动安装CA证书, 安装CA证书有两种方式: 1、 在burpsuite中 记得选certificate in DER format就足够了,不要选Private,里面包 ...
分类:
其他好文 时间:
2017-04-13 10:18:14
阅读次数:
245
Kali中的默认浏览器无法直接使用burpsuite问题Kali中默认的浏览器是iceweasel浏览器,这种浏览器是foxfire内核的。而新版foxfire中对于代理则使用的是plug-n-hack协议,这款协议能够很好地将浏览器和安全工具结合起来而避免以前使用时需要的大量跳转工作。要想在kali中使用burp..
分类:
其他好文 时间:
2017-04-09 15:10:29
阅读次数:
461
最近在做一些PHP代码审计的工作,在进行正式的代码审计之前,我推荐一套PHP代码审计全家桶:火狐浏览器+sublimetext+PHPstudy+Navicatpremium+K8-WEB编码工具+burpsuite代理工具。火狐浏览器:免费开源(有点搞笑啦,浏览器都是免费的),重点是火狐浏览器存在很多有利的插件,..
分类:
其他好文 时间:
2017-03-11 22:06:33
阅读次数:
328
首先,网上有很多关于此类的教程,但是对于小白来说有些还是比较难懂,接下来我写一篇关于安装的详细教程。 1. 首先需要安装python环境 2.下载sqlmap包,下载地址:http://sqlmap.org/ 3.解压下载的sqlmap包置于任意盘符 4.将sqlmap加入系统变量,新建txt文件, ...
分类:
数据库 时间:
2017-02-06 20:59:04
阅读次数:
506
今天对burpsuite进行一个尝试,但是马上就遇到了这个问题。 方法:(来自百度知道) 我在网上搜索答案,原来是8080这个端口被占用了。查看方法如下: 运行cmd输入netstat -ano找到了PID为4432的程序正在占用(不同设备PID不同) 打开任务管理器,在详细信息中找到PID为443 ...
分类:
其他好文 时间:
2017-01-31 12:11:11
阅读次数:
286
burpsuite专业版 一个网站 burpsuite专业版 一个网站 burpsuite专业版 一个网站 burpsuite专业版 burpsuite专业版 一个网站 一个网站 方法/步骤 1 切换至proxy选项卡的Option选项下,设置代理地址和端口:127.0.0.1:8080。 2 启动 ...
分类:
Web程序 时间:
2017-01-05 16:54:00
阅读次数:
343
绕过前端验证可以通过两种办法:一是利用开发者工具进行debug;二是利用burpsuite直接抓取。本题解决思路如下: STAGE 1: For this exercise, your mission is to discover a coupon code to receive an uninte ...
分类:
Web程序 时间:
2016-12-27 00:08:24
阅读次数:
246
